Attacco tramite ssh

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
manublade
Linux 2.x
Linux 2.x
Messaggi: 499
Iscritto il: dom 8 gen 2006, 22:21

Attacco tramite ssh

Messaggio da manublade »

Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.

Did not receive identification string from 80.51.250.106
Aug 6 10:43:27 manublade sshd[4494]: Failed password for root from 80.51.250.106 port 46238 ssh2
Aug 6 10:43:28 manublade sshd[4499]: Invalid user sifak from 80.51.250.106
Aug 6 10:43:28 manublade sshd[4499]: Failed password for invalid user sifak from 80.51.250.106 port 46281 ssh2
Aug 6 10:43:29 manublade sshd[4503]: Invalid user slasher from 80.51.250.106
Aug 6 10:43:29 manublade sshd[4503]: Failed password for invalid user slasher from 80.51.250.106 port 46297 ssh2
Aug 6 10:43:30 manublade sshd[4507]: Invalid user fluffy from 80.51.250.106
Aug 6 10:43:30 manublade sshd[4507]: Failed password for invalid user fluffy from 80.51.250.106 port 46308 ssh2
Aug 6 10:43:31 manublade sshd[4511]: Invalid user admin from 80.51.250.106
Aug 6 10:43:31 manublade sshd[4511]: Failed password for invalid user admin from 80.51.250.106 port 46315 ssh2
...omissis
Aug 6 10:44:11 manublade sshd[4667]: Failed password for root from 80.51.250.106 port 46752 ssh2
Aug 6 10:44:12 manublade sshd[4671]: Invalid user admin from 80.51.250.106
Aug 6 10:44:12 manublade sshd[4671]: Failed password for invalid user admin from 80.51.250.106 port 46763 ssh2
Aug 6 10:44:13 manublade sshd[4675]: Invalid user admin from 80.51.250.106
Aug 6 10:44:13 manublade sshd[4675]: Failed password for invalid user admin from 80.51.250.106 port 46777 ssh2

...omissis
Aug 6 10:45:55 manublade sshd[5051]: Invalid user add from 80.51.250.106
Aug 6 10:45:55 manublade sshd[5051]: Failed password for invalid user add from 80.51.250.106 port 47888 ssh2
Aug 6 10:45:56 manublade sshd[5055]: Invalid user michael from 80.51.250.106
Aug 6 10:45:56 manublade sshd[5055]: Failed password for invalid user michael from 80.51.250.106 port 47897 ssh2
Aug 6 10:45:57 manublade sshd[5059]: Invalid user adrian from 80.51.250.106
Aug 6 10:45:57 manublade sshd[5059]: Failed password for invalid user adrian from 80.51.250.106 port 47907 ssh2
Aug 6 10:45:58 manublade sshd[5064]: Invalid user Ionut from 80.51.250.106
Aug 6 10:45:58 manublade sshd[5064]: Failed password for invalid user Ionut from 80.51.250.106 port 47915 ssh2
Aug 6 10:45:59 manublade sshd[5068]: Invalid user telnet from 80.51.250.106
Aug 6 10:45:59 manublade sshd[5068]: Failed password for invalid user telnet from 80.51.250.106 port 47923 ssh2
Aug 6 10:46:00 manublade sshd[5072]: Invalid user irc from 80.51.250.106
Aug 6 10:46:00 manublade sshd[5072]: Failed password for invalid user irc from 80.51.250.106 port 47937 ssh2
Aug 6 10:46:01 manublade sshd[5076]: Invalid user bnc from 80.51.250.106
Aug 6 10:46:02 manublade sshd[5076]: Failed password for invalid user bnc from 80.51.250.106 port 47945 ssh2
Aug 6 10:46:03 manublade sshd[5080]: Invalid user psybnc from 80.51.250.106
Aug 6 10:46:03 manublade sshd[5080]: Failed password for invalid user psybnc from 80.51.250.106 port 47954 ssh2
Aug 6 10:46:04 manublade sshd[5084]: Invalid user is from 80.51.250.106
Aug 6 10:46:04 manublade sshd[5084]: Failed password for invalid user is from 80.51.250.106 port 47961 ssh2
Aug 6 10:46:05 manublade sshd[5088]: Invalid user Exit from 80.51.250.106
Aug 6 10:46:05 manublade sshd[5088]: Failed password for invalid user Exit from 80.51.250.106 port 47971 ssh2

...omissis
Aug 6 10:47:37 manublade sshd[5525]: Invalid user work from 80.51.250.106
Aug 6 10:47:37 manublade sshd[5525]: Failed password for invalid user work from 80.51.250.106 port 48823 ssh2
Aug 6 10:47:39 manublade sshd[5530]: Invalid user pico from 80.51.250.106
Aug 6 10:47:39 manublade sshd[5530]: Failed password for invalid user pico from 80.51.250.106 port 48829


Appena notati ho immediatamente chiuso il server ssh. Oltre che a tenerlo spento, c'è un modo per difendersi da questo tipo di attacchi? Anche se so bene che individuare un nome utente ed una password non è sempre facile vorrei evitare attacchi del genere in futuro.
Il mio pc è collegato tramite modem Lynksys wag54gs.
Grazie

Avatar utente
airex
Linux 1.x
Linux 1.x
Messaggi: 121
Iscritto il: sab 8 lug 2006, 11:03
Slackware: -current
Desktop: xfce
Distribuzione: Slackware64
Località: Milano
Contatta:

Messaggio da airex »

potresti per prima cosa "spostare" il server ssh in modo che ascolti su una porta che non sia la 22, magari lo metti su una sopra la 1024.

Potresti anche mettere delle regole di iptables che diano la possibilità di contattare la porta da te scelta solo da determinati IP.

In ogni caso disabiliterei, se non l'hai già fatto, la possibilità di connettersi via ssh direttamente come root.

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Se dai

Codice: Seleziona tutto

whois 80.51.250.106
ottieni una serie di indirizzi e-mail dell'ISP polacco da cui è provenuto l'attacco (almeno nell'ultimo tratto) a cui puoi segnalare l'accaduto.
Io lo farei...
Se non puoi, per vari motivi, selezionare gli ip da cui consentire le connessioni, puoi provare la tecnica del port knocking...
La raccomandazione di scegliere e imporre agli utenti password robuste è scontata...

Comunque l'attacco pare fatto da un tool automatico non molto pericoloso...

manublade
Linux 2.x
Linux 2.x
Messaggi: 499
Iscritto il: dom 8 gen 2006, 22:21

Messaggio da manublade »

Ok, vedrò di fare quello che dite.

kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

disabilita l'accesso con password ed abilita l'accesso con chiave rsa. accetta solo connessioni con protocollo ssh 2, disabilita l'accesso come root attraverso ssh .

Avatar utente
darkside04
Linux 2.x
Linux 2.x
Messaggi: 432
Iscritto il: mar 23 nov 2004, 0:00
Località: roma

Re: Attacco tramite ssh

Messaggio da darkside04 »

manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????

Avatar utente
jacobbe
Linux 0.x
Linux 0.x
Messaggi: 76
Iscritto il: dom 15 mag 2005, 0:00
Slackware: 12.0
Località: Treviso, Padova

Messaggio da jacobbe »

Tranquillo su ogni macchina che ho gestito ne ho trovati centinaia di questi banali attacchi basati su dizionario...
Sono innoqui a meno che non hai un utente di nome paolo con password rossi :D

Avatar utente
IceSlack
Linux 4.x
Linux 4.x
Messaggi: 1313
Iscritto il: dom 30 ott 2005, 13:27

Re: Attacco tramite ssh

Messaggio da IceSlack »

darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????
lo vorrei sapere anche io visto che e' da 1 vita che cerco quacosa cosi'

emm non si puo' impostare che dopo 3 login falliti non ti fa piu' ritentare per 1 ora?da quaell'ip

Avatar utente
darkside04
Linux 2.x
Linux 2.x
Messaggi: 432
Iscritto il: mar 23 nov 2004, 0:00
Località: roma

Re: Attacco tramite ssh

Messaggio da darkside04 »

darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????

Manublade se non ti spiace puoi darmi/darci info sul progamma usato per far scorrere il file /var/log/messages su desktop sarei molto interessato:?: :?:

Thank's

Avatar utente
Firetux
Linux 4.x
Linux 4.x
Messaggi: 1465
Iscritto il: gio 10 giu 2004, 0:00
Località: Lecco
Contatta:

Messaggio da Firetux »


Avatar utente
Heidegger
Linux 2.x
Linux 2.x
Messaggi: 246
Iscritto il: lun 28 mar 2005, 0:00
Località: Roma
Contatta:

Messaggio da Heidegger »

Scusate l'ignoranza, ma per far scorrere in maniera semplice, pulita (alla Slackware per intenderci!!) i log, non va bene aprire e lasciare senza bordi una piccola shell a lato dello schermo e dare un bel
tail -f /var/log/messages
???
Per me va più che bene senza starsi a complicare la vita con vari programmini.
Poi non so se voi intendevate un qualche cosa di diverso per "scorrere" i messaggi
Così è comodo perchè è in real-time
Un saluto,
Heidegger

Avatar utente
Firetux
Linux 4.x
Linux 4.x
Messaggi: 1465
Iscritto il: gio 10 giu 2004, 0:00
Località: Lecco
Contatta:

Messaggio da Firetux »

il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo

Avatar utente
napoleone1981
Linux 2.x
Linux 2.x
Messaggi: 380
Iscritto il: gio 26 ago 2004, 0:00
Località: Sant'Elena

Messaggio da napoleone1981 »

il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo
Ma anche con un programma apposito solo root puo farlo... Non è che con un prog cambiano i permessi del file... O forse ho capito male quello che intendevi???

Avatar utente
Heidegger
Linux 2.x
Linux 2.x
Messaggi: 246
Iscritto il: lun 28 mar 2005, 0:00
Località: Roma
Contatta:

Messaggio da Heidegger »

Va bene la sicurezza, ma basta con le p***e mentali!
Tenere una sessione root aperta per scorrere il file messages non mi pare così
"tragica" come faccenda.
Oppure basta dare i diritti di lettura con un bel chmod all'utente e via.
Un saluto

Avatar utente
nowhere
Linux 0.x
Linux 0.x
Messaggi: 44
Iscritto il: dom 27 mar 2005, 0:00

Messaggio da nowhere »

http://www.goof.com/pcg/marc/root-tail.html

io lo uso e va benone.
Si può ovviamente fare anche da shell con tail.
Ciao

Rispondi